漏洞名称:
Openssl 多个漏洞
组件名称:
Openssl
安全公告链接:
https://mta.openssl.org/pipermail/openssl-announce/2022-May/000224.html
漏洞分析
1 组件介绍
OpenSSL 是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。
2 漏洞描述
近日,深信服安全团队监测到一则Openssl官方发布安全更新的通告,共修复了4个安全漏洞。
Openssl 远程代码执行漏洞 CVE-2022-1292
该漏洞源于c_rehash 脚本未正确清理 shell 元字符导致命令注入,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行系统命令注入攻击,最终造成远程代码执行。
Openssl 证书认证错误漏洞 CVE-2022-1343
该漏洞是由于 OCSP_basic_verify 函数验证部分证书存在错误,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行证书欺骗攻击,最终导致非法响应签名证书验证成功。
Openssl 加密错误漏洞 CVE-2022-1434
该漏洞是由于 RC4-MD5 密码套件的 OpenSSL 3.0 实现错误地使用了AAD 数据作为 MAC 密钥。这使得 MAC 密钥可以被预测。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行中间人攻击,最终控制通信的进行(但是攻击者无法对数据进行解密)。
Openssl 内存泄露拒绝服务漏洞 CVE-2022-1473
该漏洞是由于 OPENSSL_LH_flush() 函数包含一个错误,解码证书时内存使用量将无限扩展,进程可能会被终止而导致拒绝服务,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行拒绝服务攻击,最终造成拒绝服务。
影响范围
Openssl 广泛用于各类服务器的加密通信套件,由于其跨平台和支持多样化算法的性质被广泛使用。可能受漏洞影响的资产广泛分布于世界各地,此次曝出的漏洞虽然是中危漏洞,但是涉及用户量大,导致漏洞影响力很大。
解决方案
1 如何检测组件系统版本
在命令行中执行命令
openssl version即可显示当前 Openssl 版本
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/openssl/openssl/tags
打补丁/升级方法:
下载并安装最新版 OpenSSL 即可
3 深信服解决方案
-
主动检测
支持对 Openssl 远程代码执行漏洞(CVE-2022-1292)、Openssl 证书认证错误漏洞(CVE-2022-1343)、Openssl 加密错误漏洞(CVE-2022-1434)、Openssl 内存泄露拒绝服务漏洞(CVE-2022-1473)的主动检测,可批量快速检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服安全云眼CloudEye】预计2022年5月16日发布解决方案。
【深信服云镜YJ】预计2022年5月16日发布解决方案。
参考链接
https://mta.openssl.org/pipermail/openssl-announce/2022-May/000224.html
时间轴
2022/5/13 深信服监测到 Openssl 官方发布安全补丁。
2022/5/13 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【安全公告】Openssl 多个漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论